ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Gokar

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Trata-se de um worm de vírus que se espalha pela Internet conectado a e-mails infectados, envia-se por canais de IRC e infecta um servidor IIS. Ele também se protege de programas antivírus.

O worm em si é um arquivo EXE do Windows PE, com 14336 bytes de comprimento, e está escrito em Visual Basic 6. Ele é compactado em um programa UPX. Depois de desembalar, o tamanho é de 53 Kb. Contém as seguintes cadeias de texto:

    W32.Karen by Gobo … feliz aniversariante !!! gritos: W1z, Merl, NM e quem mais. #teamvirus no Undernet … diga olá. bob é o rei dos bots 🙂

Mensagens infectadas contêm o seguinte:

Assunto é uma das 15 variantes:

  • Se eu fosse Deus e não acreditasse em mim seria blasfêmia
  • A equipe VS KnightRider … quem ganharia?
  • Apenas um beijo, vai melhorar. Apenas um beijo, e ficaremos bem.
  • Eu não posso evitar esse desejo, me consolar. Li> E eu sinto mais a sua falta, minha querida …
  • … Quando as folhas de outono começam a cair
  • Está escuro aqui, você pode sentir tudo ao redor. O subterrâneo.
  • Eu sempre estarei com você, às vezes preto, às vezes branco …
  • .. e não há necessidade de estar com medo, você está sempre em minha mente.
  • Você apenas dá um passo gigantesco, um passo acima.
  • O ar te segurará se você tentar, confiar em minhas asas de desejo. Glória, Glorificada …….
  • Os horizontes se inclinam para frente, nos oferecendo espaço para dar novos passos de mudança.
  • Eu gosto dessa calma, momentos antes da tempestade Querida, quando você caiu … quando acabou?
  • Você vai me encontrar … e nós vamos voar para longe!

Anexar nome do arquivo é aleatório. Tem uma das seguintes extensões:
.exe, .pif, .scr, .bat, .com

Os nomes de amostra são os seguintes:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

O corpo da mensagem é uma das quatro variantes a seguir:

Ei

  • Dizem que o amor é cego … bem, o apego provavelmente prova isso. Muito bom de qualquer forma, não é?

  • Você deveria gostar disso, poderia ter sido feito para você falar com você mais tarde

  • Feliz Aniversário Sim ok, então não é seu, é meu 🙂 ainda é motivo para uma comemoração, confira os detalhes que eu anexei

  • Isso me fez rir Tenho mais algumas coisas para te contar mais tarde, mas eu não posso parar agora, então eu te enviarei mais tarde ou te darei um anel se isso é ok ?! Falar com você mais tarde

Instalação

Durante a instalação, o worm se copia para o diretório de sistema do Windows com o nome KAREN.EXE e registra esse arquivo na chave de execução automática do registro do sistema.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen karen.exe

Espalhando via e-mail

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook.

Gokar1.bmp

Espalhando via canais de IRC

O worm sobrescreve o arquivo C: MIRCSCRIPT.INI para o novo arquivo de script.

Este script envia um arquivo EXE para cada usuário que ingressar no canal infectado. Também envia a seguinte mensagem:

Se isso não te faz sorrir, nada vai.

Altera o apelido de um usuário para o seguinte:

Karen, verme, vírus, sexo

O script ignora os usuários que enviam os textos ::

script, infectado, dcc, script, infectado

Ele se junta ao canal #teamvirus se ele receber um texto com char 'e'.

Infecting IIS server

O worm sobrescreve o arquivo C: INETPUBWWROOTDEFAULT.HTM com seu código e se copia para o diretório C: INETPUBWWWROOT com o nome WEB.EXE. O novo DEFAULT.HTM contém um link para o arquivo WEB.EXE. Também tem um comentário de texto:

Como resultado, o servidor IIS local está infectado pelo worm.

Protegendo contra programas antivirais

Durante a instalação no sistema do computador, o worm verifica os processos em execução. Ele verifica seus nomes na lista a seguir:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

O worm termina esses processos na memória.


Link para o original